入侵防御技术（IPS）保4-7层网络安全

在过去的两年中，入侵检测（ids）技术一度被炒得热火朝天，而去年6月，gartner的一份非常著名的报告很果断地宣告了ids技术的“死刑”，它宣布入侵防御（ips）将成为ids的“掘墓人”。到底ips有何高明之处，使得它在网络安全舞台一登场便赢得如此高的实力指数？

　　据国外安全厂商netscreen的技术专家介绍：相对于ids的被动检测及误报等问题，ips是一种比较主动、机智的防御系统。从功能上讲，作为并联在网络上的设备，绝大多数ids一般需要与防火墙联动或发送tcpreset包来阻止攻击。而ips本身就可以阻止入侵的流量。

　　从技术上讲，ids系统在识别大规模的组合式、分布式的入侵攻击方面，还没有较好的方法和成熟的解决方案，误报与漏报现象严重，用户往往淹没在海量的报警信息中，而漏掉真正的报警；此外，ids只能报警而不能有效采取阻断措施的设计理念，也不能满足用户对网络安全日益增长的需求。相反，ips系统则没有这种问题，它的拦截行为与其分析行为处在同一层次，能够更敏锐地捕捉入侵的流量，并能将危害切断在发生之前。从ids到ips，这是必然的趋势。

　　但ips能否真正取代ids，来自总参的一位技术专家认为，“ids+防火墙”的联动防护机制与ips会在今后相当长的时间内并存，ips的发展势头会更好一些。但ips并不是防火墙的替代者，至少在当前，ips与防火墙的互补作用还十分明显，防火墙负责提供3-4层的基本安全环境和高速转发能力，而ips负责4-7层流量的小粒度控制。事实上，在电信级流量背景下，对于4-7层的流量进行分析和过滤是不现实的，只有高性能的防火墙系统才能为网络提供必要的防护。因此，ips更加适用于中等规模的网络，以及作为大型网络中的第二层防护，用以保护关键的业务和应用。

　　另外，专家还指出了ips技术的四大特征：只有以嵌入模式运行的ips设备才能够实现实时的安全防护，实时阻拦所有可疑的数据包；ips必须具有深入分析能力，以确定哪些恶意流量已经被拦截，根据攻击类型、策略等来确定哪些流量应该被拦截；高质量的入侵特征库也是ips高效运行的必要条件；ips还必须具有高效处理数据包的能力。